ПАК «С-Терра Шлюз» предназначен для защиты высокопроизводительных каналов связи. С-Терра Шлюз DP выполняет функции межсетевого экрана, средства криптографической защиты информации и маршрутизатора.

С-Терра Шлюз DP обеспечивает создание виртуальных защищенных сетей (VPN), защиту транзитного трафика между различными узлами сети, защиту трафика самого шлюза безопасности, а также фильтрацию трафика на уровне протоколов семейства TCP/IP.

Защиту трафика С-Терра Шлюз  осуществляет в рамках международных стандартов IKE/IPsec:

•   Security Architecture for the Internet Protocol - RFC2401;

•   IP Authentication Header (AH) - RFC2402;

•   IP Encapsulating Security Payload (ESP) - RFC2406;

•   Internet Security Association and Key Management Protocol (ISAKMP) - RFC2408;

•   The Internet Key Exchange (IKE) - RFC2409;

•   The Internet IP Security Domain of Interpretation for ISAKMP (DOI) - RFC2407;

•   Negotiation of NAT-Traversal in the IKE - RFC3947;

•      UDP Encapsulation of IPsec ESP Packets - RFC3948.

 

Также используются национальные стандарты:

•   ГОСТ Р 34.11-2012. Информационная технология. Криптографическая защита информации. Функция хэширования.

•   ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.

•   ГОСТ Р 34.12-2015 Информационная технология. Криптографическая защита информации. Блочные шифры.

•   ГОСТ Р 34.13-2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров.

•   Р 1323565.1.026-2019 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров, реализующие аутентифицированное шифрование.

•   Р 1323565.1.024-2019 Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов.

•   Р 1323565.1.005-2017 Информационная технология. Криптографическая защита информации. Допустимые объемы материала для обработки на одном ключе при использовании некоторых вариантов режимов работы блочных шифров в соответствии с ГОСТ Р 34.13-2015.

•   Р 50.1.110-2016 Информационная технология. Криптографическая защита информации. Контейнер хранения ключей.

•   RFC 4357, глава 5.2, «VKO GOST R 34.10-2001» - Additional Cryptographic Algorithms for Use with GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms.

•      RFC 4491 - Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure.

 

Основные возможности С-Терра Шлюз:

•   защита трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам;

•      IPsec AH и/или IPsec ESP;

•      реализация новых криптографических алгоритмов;

•      пакетная фильтрация трафика по адресам, протоколам, портам, по любым полям заголовка IP-пакета;

•      контекстная фильтрация трафика для протоколов TCP и FTP;

•      работа по расписанию для правил пакетной фильтрации;

•      различные наборы правил обработки трафика на разных интерфейсах;

•      возможность задания независимых правил для входящего и исходящего трафиков на каждом интерфейсе, как для пакетной, так и контекстной фильтрации трафика;

•      поддержка качества обслуживания QoS (приоритет по полю TOS, управление очередями, фрагментацией пакетов, сеансами TCP, классификация, защита от перегрузки);

•      поддержка в качестве IKECFG-сервера - выдача адресов из локальной подсети, адресов DNS-серверов, DNS-суффиксов партнеру;

•      поддержка дополнительной аутентификации (XAuth) удаленных пользователей с использованием RADIUS-сервера, возможность работать без списка CRL;

•      статическая и динамическая маршрутизация (по протоколам RIP, OSPF);

•      трансляция сетевых адресов в туннельном и транспортном режимах - NAT/PAT;

•      шифрование трафика на канальном уровне с использованием программного модуля СТерра L2 (VLAN);

•      интеграция с Системой обнаружения вторжений (ПК «С-Терра СОВ. Версия 4.3»);

•      событийное протоколирование, с возможностью объединять события в группы и задавать для каждой группы свой независимый уровень протоколирования;

•      сбор статистики для мониторинга по протоколу SNMP;

•      использование Radius-сервера в качестве средства мониторинга - сбор и анализ статистической информации по защищенным соединениям с партнерами;

•      создание кластера на основе протокола VRRP в режиме горячего резервирования;

•      синхронизация системного времени с NTP-сервером.

 

На С-Терра Шлюз DP используется встроенная криптобиблиотека, разработанная компанией «С-Терра СиЭсПи», реализующая российские криптографические алгоритмы:

•   ГОСТ 28147-89, ГОСТ Р 34.12-2015, ГОСТ З4.13-2015 - алгоритмы шифрования для протокола ESP, ISAKMP;

•   ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.12-2015, ГОСТ З4.13-2015 - алгоритмы имитозащиты для протоколов ESP и AH;

•   ГОСТ Р 34.11-94, ГОСТ 34.11-2012 - алгоритмы хэширования для протокола ISAKMP;

•   ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 - алгоритмы формирования и проверки электронной подписи;

•   VKO GOST R 34.10-2001, VKO GOST R 34.10-2012 - алгоритмы согласования ключей для протокола ISAKMP.

Внимание!

Рекомендуется отказаться от использования в политике безопасности устаревшего алгоритма ГОСТ 28147-89 и преобразований на основе ГОСТ 28147-89. Для перехода на работу с новыми криптографическими алгоритмами используйте инструкцию по ссылке.

Также реализована генерация случайных чисел.

С-Терра Шлюз DP работает не только с криптоалгоритмами ГОСТ, но и с международными криптоалгоритмами.

 

Управление С-Терра Шлюз DP осуществляется:

•      централизованно-удаленно посредством Программного продукта «С-Терра КП. Версия 4.3», используемого для управления продуктами компании «С-Терра СиЭсПи» и мониторинга;

•    локально и удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки в основном используются команды Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems;

•      с использованием конфигурационного текстового файла, описывающего политику безопасности, и последующей загрузки его на шлюз.

 

С-Терра Шлюз DP совместим со следующими токенами: eToken PRO 72k, JaCarta PKI, JaCarta PKI/ГОСТ, Рутокен Lite, Рутокен ЭЦП, Рутокен ЭЦП 2.0.

 

Для повышения производительности используются:

•      механизм Hugepages (на настоящий момент размер страницы 1 Гбайт);

•   оптимизированная компиляция для семейства процессоров Sandy Bridge или новее;

•   отказ от прохождения шифруемых/контролируемых пакетов через tcp/ip стек ОС;

•      распараллеливание обработки пакетов внутри платформо-независимой части Продукта (для этого на каждый обрабатывающий поток создаётся свой внутренний логический интерфейс);

•   оптимизированные алгоритмы: ESP_GOST-4M-IMIT (ГОСТ 28147-89 + ТС 26.2.002-2014) и ENCR_KUZNYECHIK_MGM_KTREE (ГОСТ Р 34.12-2015 + ГОСТ Р 1323565.1.026-2019).